CHƯƠNG 3. THỰC HÀNH TẤN CÔNG WEBSITE VÀ SỬ DỤNG
3.4. T HỰC HÀNH TẤN CÔNG D O S TRANG W EB TỰ DỰNG VÀ SỬ DỤNG
Chuẩn bị: 2 máy ảo Window Server 2012, 1 máy Win 10 trong cùng mạng LAN cài Wireshark
Mô hình triển khai như hình dưới:
Hình 3. 33. Mô hình thực hành tấn công DoS trang Web tự dựng và sử dụng Wireshark để phân tích
Lưu ý: Máy nạn nhân đóng vai trò như một Web Server, đã cài các dịch vụ DNS và IIS , khi thực hành cần tắt tường lửa trên máy nạn nhân.
Bước 1: Tại máy tấn công DoS, bật IE và truy cập vào trang web đã tạo cùng với tên miền.
Hình 3. 34. Trang web tự tạo với tên miền “https://www.thuong.com”
Mục đích của bước này là để kiểm tra trang web được cung cấp bởi dịch vụ Web có tồn tại và hoạt động ổn định không. Chúng ta thấy trang Web hoàn toàn hoạt động bình thường, có thể thực hiện tấn công DoS.
Bước 2: Tại máy tấn công DoS:
Bước 2.1: Thực hiện lệnh : ”ping www.thuong.com -l 1500 -t” vào trang web www.thuong.com theo lệnh như hình dưới:
Hình 3. 35. Thực hiện Ping tới trang web www.thuong.com
Chúng ta có thể thấy ngay lập tức tên miền ở trên đã được phân giải thành địa chỉ IP là 192.168.1.2. Nó cho ta biết địa chỉ IP của máy chủ (máy nạn nhân) đang chạy trang Web đó. “-l 1500 -t” có nghĩa là gửi gói tin ICMP có độ dài 1500 bytes và gửi vô hạn lần tới máy chủ, chỉ kết thúc khi ta tắt cửa sổ CMD.
Bước 2.2: Bây giờ ta mở thật nhiều, khoảng 15 cửa sổ CMD và chạy câu lệnh như ở bước 2.1 như hình dưới:
Hình 3. 36. Nhiều cửa sổ CMD được mở để thực hiện lệnh Ping tới tên miền www.thuong.com
Việc thực hiện nhiều lệnh ping trên CMD như trên ảnh tới trang web trên nhằm mục đích cố gắng làm sập, mất ổn định hoặc đóng băng máy tính hoặc dịch vụ được nhắm mục tiêu, ở đây là máy chủ Web có IP 192.168.1.2 có tên miền là www.thuong.com , bằng cách gửi các gói tin có định dạng sai hoặc quá lớn bằng lệnh ping đơn giản. Kiểu tấn công này được gọi là ICMP Ping of Death (còn gọi là PoD), nó là một loại tấn công từ chối dịch vụ (DoS)
Bước 3: Tại máy nạn nhân, truy cập trang web có tên miền www.thuong.com và xem kết quả:
Hình 3. 37. Truy cập trang web với tên miền www.thuong.com trên máy chủ Web (máy nạn nhân)
Chúng ta có thể thấy tuy rằng trang web chưa hẳn bị sập nhưng dấu hiệu của việc bị tấn công DoS có thể thấy được thông qua việc truy cập vào trang web tồn nhiều thời gian hơn bình thường. Để khẳng định rằng trang web có bị tấn công DoS hay không ta chuyển sang bước 4.
Bước 4: Tại máy Windows 10( Máy phát hiện và phân tích tấn công), Bước 4.1: Mở Wireshark lên và chọn giám sát ở card mạng Vmnet8(NAT) và xem kết quả:
Hình 3. 38. Wireshark khi bắt gói tin trên card mạng Vmnet 8(NAT)
Chúng ta thấy rất nhiều gói tin chứa giao thức ICMP và Ipv4 được gửi từ máy có địa chỉ IP 192.168.1.30 tới máy có IP 192.168.1.2
Bước 4.2: Thực hiện lọc gói tin chứa giao thức ICMP trên Wireshark như hình dưới:
Hình 3. 39. Thực hiện lọc gói tin chứa giao thức ICMP trên Wireshark bằng cách gõ lệnh “icmp” trên thanh có hình cờ xanh
Chúng ta thấy có rất nhiều gói tin ICMP đã được gửi từ cùng một địa chỉ IP tới máy nạn nhân, nhưng chưa chắc đây là tấn công PoD hay không thì chúng ta cần chuyển sang bước 4.3
Bước 4.3: Chọn một gói tin ICMP bất kỳ để phân tích
Hình 3. 40. Gói tin ICMP số 2 được chọn để phân tích
Ta thấy ở đây địa chỉ nguồn của gói tin từ máy kẻ tấn công có IP là 192.168.1.30 và địa chỉ đích là máy chủ Web với IP là 192.168.1.2, Kích thước của một gói IPv4 như trên ảnh là 1508 bytes được chia làm 2 Fragment: #1 có độ dài 1480 bytes và #2 có độ dài là 28 bytes.
Hình 3. 41. Phân tích gói tin ICMP số 2(Tiếp)
Ta thấy ở hình trên gói tin ICMP được gửi đi có độ dài dữ liệu là 1500 bytes
Bước 5: Tại máy tấn công DoS: mở tool hỗ trợ tấn công DoS có tên là DDOS Sux, điền IP mục tiêu là 192.168.1.2 và port 53 rồi nhấn nút “Attack That…” và xem kết quả
Hình 3. 42. Tool hỗ trợ tấn công DoS có tên là DDOS Sux, điền IP mục tiêu là 192.168.1.2 và port 53 rồi nhấn nút “Attack That…”
Tool này hỗ trợ tấn công DDoS hoặc DoS theo dạng SYN Flood mục tiêu đã biết trước và cổng giao tiếp của mục tiêu tấn công, ở đây là máy chủ Web có địa chỉ IP 192.168.1.2 và port 53 dành cho giao thức DNS, bằng cách lợi dụng điểm yếu trong giao thức bắt tay 3 bước TCP, nó gửi hàng loạt gói tin TCP cờ SYN tới máy nạn nhân.
Bước 6: Tại máy chủ web( máy nạn nhân) Bước 6.1: Bật Task Manager lên và quan sát:
Hình 3. 43. Tại máy chủ web( máy nạn nhân) bật Task Manager lên và quan sát Ta có thể thấy lượng CPU đang sử dụng đã tăng lên nhanh chóng và tiếp tục trong một khoảng thời gian
Bước 6.2: F5 lại trang web và quan sát
Hình 3. 44. Tải lại trang web bằng cách nhấn F5
Ta thấy trang web cũng chưa thể bị sập vì ta chỉ đang tấn công DoS từ một máy tính, và trong mô hình này không sử dụng Internet nên tool ở bước 5 không thể tấn công theo kiểu DDoS được.
Bước 7: Tại máy Windows 10( Phát hiện và phân tích tấn công) Bước 7.1: Mở Wireshark lên để bắt gói tin:
Hình 3. 45. Các gói tin TCP liên tục xuất hiện
Chúng ta có thể thấy hàng loạt gói tin chứa giao thức TCP được gửi Bước 7.2: Chọn một gói tin bất kỳ để phân tích
Hình 3. 46. Chọn một gói tin TCP bất kỳ và phân tích
Ta thấy gói tin TCP như trên ảnh được gửi từ máy có IP 192.168.1.30 là máy kẻ tấn công và máy nạn nhân IP 192.168.1.2 là đích. Gói tin này không chứa dữ liệu, được gửi từ Port nguồn là 5026 và Port đích là 53.
Vậy là chúng ta đã được làm quen với một số kiểu tân công DoS đơn giản mã không cần hiểu biết sâu về kiến trúc Web hay hệ điều hành.